那里,
我实际上是在一个不应该从互联网上访问的内部网Dokuwiki上工作。
它运行在Debian9扩展版上的Apache2上,并使用python-certbot-apache来创建证书。
通过尝试获取证书,我得到了报告的DNS问题:NXDOMAIN在A中查找wiki.domain.de
我们有一个公共域domain.de,而wiki.domain.de有一个内部网DNS条目来在我们的网络中解析它。
我现在已经读到了,仍然可以通过名为http-01 challange的东西为这台服务器获得证书,但我不知道如何启动它。
如果有人能通过这一点,并能解释或提供给我一个指南的链接,让它运行,我会非常高兴。
诚挚的问候
Sven,对http-01挑战的身份验证将来自互联网。
如果无法从Internet访问您的服务器,则不可能[直接从该系统]使用该方法。
您可以选择使用可从Internet访问的其他系统来代表Wiki服务器获取证书,或者使用DNS身份验证。
注意:dns身份验证要求您的Internet dns提供商具有受支持的更新方法[否则,您将不得不手动输入dns条目--不推荐]。
如果系统不是从您的内部网络外部访问的,为什么它需要在Internet上受信任的证书?您可以更轻松地使用来自任何内部受信任CA的证书[而且它的生命周期可能更长]。
好吧,那我们就得把现有的通配符放到系统上。
我们计划在未来切换到让我们加密完成,这个维基应该是第一个测试并开始使用的。
一个自信的CA并不是我们想象中的那样。
因此,我们现在将寻求将现有的通配符CA添加到Wiki上,并将其更改为稍后对通配符进行加密。
谢谢你的解释。,没问题。
一定要考虑到证书只持续90天这一事实。
无论证书是否为通配符,您都将面临相同的同步问题。是的,我记住了这一点。我已经私下里用过了。我已经私下里用了。
如果有人能通过这一点,并能解释或提供给我一个指南的链接,让它运行,我会非常高兴。
不是指南的链接,但如果您的域名服务器具有API,以便您可以自动添加和删除TXT记录,则您可以为仅限内部的IP地址颁发证书,只要该主机的主机名(即,DNS服务器)可以从万维网访问。Osiris:
不是指南的链接,但如果您的域名服务器有一个API,这样您就可以自动添加和删除TXT记录,您可以为仅限内部的IP地址颁发证书,只要该主机的主机名(即,DNS服务器)可以从万维网访问。
你的意思是为了获得一个证书,我让我的DNS创建一个特定时间的A记录,以获得证书并在以后调用这个条目?还是我弄错了?,itzoo:
你的意思是为了获得一个证书,我让我的DNS创建一个特定时间的A记录,以获得证书并在以后调用这个条目?还是我搞错了?
TXT唱片,不是A唱片。
Certbot有几个插件可用于自动进行dns挑战验证,但安装它们是否容易取决于您的系统发行版。